Giới thiệu về các phương pháp xác thực email
Trong bối cảnh doanh nghiệp ngày càng phụ thuộc vào email để vận hành và giao tiếp, các mối đe dọa như giả mạo email, spoofing, spam, phishing đang tăng mạnh. Điều này khiến việc thiết lập SPF, DKIM và DMARC trở thành một tiêu chuẩn bắt buộc nếu doanh nghiệp muốn duy trì uy tín email, tránh rơi vào spam và đảm bảo mọi thư gửi đi đều được xác thực.
Ba cơ chế xác thực email phổ biến nhất hiện nay gồm:
SPF (Sender Policy Framework): Xác minh máy chủ nào được phép gửi email thay mặt tên miền.
DKIM (DomainKeys Identified Mail): Gắn chữ ký số vào email giúp nhận diện email hợp lệ.
DMARC (Domain-based Message Authentication, Reporting & Conformance): Chính sách xác nhận tính toàn vẹn của SPF & DKIM và hướng xử lý email không hợp lệ.
Việc cấu hình đầy đủ ba thành phần này giúp doanh nghiệp:
Tăng khả năng email vào inbox thay vì spam
Bảo vệ thương hiệu khỏi giả mạo
Tăng độ tin cậy với Gmail, Outlook, Zoho, Microsoft 365…
Giảm nguy cơ thất thoát dữ liệu
Thiết lập SPF (Sender Policy Framework)
1.1. Định nghĩa và vai trò của SPF
SPF là bản ghi DNS giúp xác định những IP hoặc dịch vụ nào được phép gửi email từ tên miền của bạn. Nếu một máy chủ lạ cố gắng gửi email mạo danh, hệ thống nhận sẽ từ chối hoặc đưa vào spam.
Vai trò chính của SPF:
Ngăn chặn email giả mạo (spoofing)
Tăng điểm uy tín domain và IP
Giảm tỷ lệ spam
Hỗ trợ DMARC hoạt động hiệu quả
1.2. Các bước chuẩn bị để tạo bản ghi SPF
Trước khi thiết lập SPF, bạn cần:
Xác định nền tảng gửi email của doanh nghiệp
Ví dụ: Google Workspace, Microsoft 365, Zoho Mail, cPanel, SMTP riêng, Mailgun, SendGrid…Liệt kê đầy đủ tất cả công cụ gửi email
Bao gồm CRM, hệ thống gửi hóa đơn, email marketing, server ứng dụng…Kiểm tra bản ghi SPF hiện có
Vì SPF chỉ được phép có một bản ghi duy nhất, nếu trùng phải hợp nhất.
1.3. Cách cấu hình bản ghi SPF cho tên miền
Bản ghi SPF dạng TXT có cấu trúc: v=spf1 [các tham số] ~all
Ví dụ phổ biến cho Google Workspace: v=spf1 include:_spf.google.com ~all
Một số giá trị hay dùng:
include:_spf.google.com
include:spf.protection.outlook.com
include:zoho.com
include:sendgrid.net
ip4:xxx.xxx.xxx.xxx (IP server gửi mail riêng)
Nguyên tắc: gom tất cả vào 1 bản ghi SPF duy nhất, ví dụ:
v=spf1 include:_spf.google.com include:sendgrid.net ip4:123.45.67.89 ~all
Sau đó thêm vào DNS dưới dạng:
Loại: TXT
Tên: @
Giá trị: (bản ghi SPF)
1.4. Kiểm tra và xác nhận cấu hình SPF thành công
Có thể kiểm tra bằng:
Google Admin Toolbox
MXToolbox SPF Checker
Dmarcian SPF Validator
Tiêu chí thành công:
Không lỗi “Multiple SPF records”
Không vượt quá 10 lần DNS Lookup
Trạng thái: SPF PASS
1.5. Lưu ý và cảnh báo khi cấu hình SPF
Không tạo nhiều hơn 1 bản ghi SPF
Tránh dùng quá nhiều include dẫn đến “lookup limit exceeded”
Không nên sử dụng “-all” khi chưa kiểm soát toàn bộ nguồn gửi
Luôn xác minh lại sau khi thêm dịch vụ email mới
2.1. Khái niệm và lợi ích của DKIM
DKIM là cơ chế gắn một chữ ký số vào email, cho phép máy chủ nhận xác minh email không bị chỉnh sửa và đúng từ domain gửi.
Lợi ích:
Chứng minh email không bị thay đổi
Tăng độ tin cậy với Gmail, Outlook
Giảm tỷ lệ spam
Bắt buộc khi triển khai DMARC
2.2. Quy trình tạo khóa riêng và khóa công khai
DKIM bao gồm:
Private Key: lưu trên server email và dùng để ký email
Public Key: lưu trong DNS để server nhận kiểm tra
Nền tảng email thường tự tạo khóa DKIM:
Google Workspace → Admin Console
Microsoft 365 → Exchange Admin Center
Zoho Mail → DKIM Setting
cPanel → Email Deliverability
2.3. Thêm bản ghi DKIM vào DNS của tên miền
DKIM tồn tại dưới dạng bản ghi TXT có tên:
selector._domainkey
Ví dụ:
Tên: google._domainkey
Giá trị: v=DKIM1; k=rsa; p=MIGfMA0G…
Các bước:
Lấy DKIM từ nhà cung cấp email
Thêm bản ghi TXT vào DNS
Chờ 5–30 phút để DNS cập nhật
2.4. Cấu hình máy chủ email để ký DKIM tự động
Hầu hết hệ thống email doanh nghiệp đều:
Tự động ký DKIM cho mỗi email
Không cần thao tác kỹ thuật thêm
Nếu dùng SMTP riêng:
→ Cần bật DKIM signing trong Postfix, Exim hoặc PowerMTA.
2.5. Kiểm tra và xác minh hoạt động của DKIM
Dùng các công cụ:
DKIMCore Validator
MXToolbox DKIM Lookup
Google CheckMX
Tiêu chí thành công:
Trạng thái: DKIM PASS
Chữ ký hợp lệ
Không báo lỗi “Invalid Public Key”
Thiết lập DMARC (Domain-based Message Authentication, Reporting & Conformance)
3.1. Vai trò của DMARC trong bảo vệ thương hiệu và giảm thư rác
DMARC kết hợp cả SPF & DKIM để xác định email hợp lệ. Đồng thời đưa ra chính sách xử lý email không xác thực.
Lợi ích:
Ngăn 99% email giả mạo mượn danh doanh nghiệp
Kiểm soát email fail thông qua báo cáo
Tăng độ tin cậy trên Gmail/Outlook
Bảo vệ thương hiệu khỏi hành vi phishing
3.2. Xác định chính sách DMARC phù hợp với doanh nghiệp
DMARC có 3 mức:
none – chỉ giám sát, không chặn
quarantine – đưa vào spam
reject – chặn hoàn toàn
Khuyến nghị triển khai theo lộ trình:
0–2 tuần: p=none
2–4 tuần: p=quarantine
4–6 tuần: p=reject
3.3. Thêm bản ghi DMARC vào DNS
DMARC cũng là bản ghi TXT:
Tên: _dmarc
Giá trị tối thiểu:
v=DMARC1; p=none; rua=mailto:reports@yourdomain.com;
Ví dụ chính sách mạnh:
v=DMARC1; p=reject; rua=mailto:dmarc@yourdomain.com; fo=1;
3.4. Cấu hình chế độ báo cáo và xử lý các email không xác thực
DMARC hỗ trợ 2 dạng báo cáo:
rua: Aggregate report – tổng hợp
ruf: Forensic report – chi tiết từng email fail
Doanh nghiệp nên tạo email riêng để nhận báo cáo DMARC nhằm tránh đầy hộp thư.
3.5. Phân tích báo cáo DMARC để cải thiện bảo mật
Báo cáo DMARC giúp bạn biết:
Email nào fail SPF
Email nào fail DKIM
Dịch vụ nào đang mạo danh domain
Server lạ đang gửi email trái phép
Công cụ phân tích:
Postmark DMARC
dmarcian
EasyDMARC
Dựa trên dữ liệu, doanh nghiệp có thể:
Thêm dịch vụ gửi email hợp lệ vào SPF
Gỡ bỏ nguồn gửi bất hợp pháp
Tối ưu chính sách DMARC lên p=reject
Kết luận
Việc thiết lập SPF, DKIM và DMARC không chỉ là yêu cầu kỹ thuật mà còn là nền tảng bảo vệ thương hiệu và tối ưu hiệu suất email doanh nghiệp. Khi cấu hình đúng chuẩn:
Email vào inbox ổn định
Domain uy tín cao
Giảm tối đa thư rác và giả mạo
Hệ thống email an toàn và đáng tin cậy
Tây Nguyên web khiến nghi bạn nên:
Luôn cấu hình SPF → DKIM → DMARC theo thứ tự
Kiểm tra định kỳ để tránh lỗi hoặc bị giả mạo
Theo dõi báo cáo DMARC để tối ưu liên tục
Thực hiện bởi: Tây Nguyên Web
